Wenn Sie Assured Open Source Software (Assured OSS) innerhalb eines VPC Service Controls-Dienstperimeters aktivieren, müssen Sie Regeln für ausgehenden Traffic konfigurieren.
Dieses Dokument gilt nur für die Premium-Dienststufe von Assured OSS.
Weitere Informationen finden Sie unter Richtlinien für ausgehenden Traffic konfigurieren.
Hinweis
Sie benötigen die erforderlichen Rollen, um VPC Service Controls auf Organisationsebene zu konfigurieren.
Sie benötigen die folgenden Informationen:
- Das Dienstkonto, das Sie zum Einrichten von Assured OSS verwendet haben.
- Der Artifact Registry-Dienst-Agent der beim Einrichten von Assured OSS automatisch erstellt wurde.
- Das Nutzerkonto, mit dem Assured OSS eingerichtet wurde.
Regel für ausgehenden Traffic beim Herunterladen von Binärdateien konfigurieren
Führen Sie diese Aufgabe für Ihre Artifact Registry-Repositories und für die Google Cloud Ressourcen aus, die Downloads initiieren (z. B. Compute Engine-VMs).
Konfigurieren Sie die folgende Regel für ausgehenden Traffic:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- serviceAccount: ARTIFACT_REPOSITORY_EMAIL_ADDRESS
- serviceAccount: OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS
- USER_GROUP
egressTo:
operations:
- methodSelectors:
- method: artifactregistry.googleapis.com/GoRead
- method: artifactregistry.googleapis.com/MavenRead
- method: artifactregistry.googleapis.com/NPMRead
- method: artifactregistry.googleapis.com/PythonRead
serviceName: artifactregistry.googleapis.com
resources:
- projects/855934472549
- projects/107114433875
Ersetzen Sie Folgendes:
ASSURED_OSS_EMAIL_ADDRESS: die E-Mail-Adresse des Dienstkontos, das Sie beim Einrichten von Assured OSS angegeben haben.
ARTIFACT_REGISTRY_EMAIL_ADDRESS: die E-Mail -Adresse des Artifact Registry-Dienst-Agents.
OTHER_SERVICE_ACCOUNT_EMAIL_ADDRESS: die E-Mail Adressen anderer Dienstkonten, die Zugriff auf die Open-Source Pakete benötigen.
USER_GROUP: die Gruppen, die Zugriff auf die Open-Source-Pakete benötigen. Beispiel:
group:my-group@example.comoderuser:alex@example.com.
Regel für ausgehenden Traffic beim Zugriff auf Sicherheitsmetadaten aus dem Assured OSS-Bucket konfigurieren
Führen Sie diese Aufgabe für das Nutzerkonto und das Dienstkonto aus, die Sie zum Einrichten von Assured OSS verwendet haben.
Konfigurieren Sie die folgende Regel für ausgehenden Traffic:
- egressFrom:
identities:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: google.storage.objects.get
- method: google.storage.objects.list
serviceName: storage.googleapis.com
resources:
- projects/107114433875
Ersetzen Sie Folgendes:
ASSURED_OSS_EMAIL_ADDRESS: die E-Mail-Adresse des Dienstkontos, das Sie beim Einrichten von Assured OSS angegeben haben.
ASSURED_OSS_USER_EMAIL_ADDRESS: die E-Mail -Adresse des Nutzerkontos, das Sie zum Einrichten von Assured OSS verwendet haben.
Regel für ausgehenden Traffic beim Einrichten von Pub/Sub-Benachrichtigungen konfigurieren
Führen Sie diese Aufgabe aus, um Pub/Sub-Benachrichtigungen für Assured OSS einzurichten.
Erstellen Sie die folgende Regel für ausgehenden Traffic:
- egressFrom:
- serviceAccount: ASSURED_OSS_EMAIL_ADDRESS
- user: ASSURED_OSS_USER_EMAIL_ADDRESS
egressTo:
operations:
- methodSelectors:
- method: Subscriber.CreateSubscription
serviceName: pubsub.googleapis.com
resources:
- projects/107114433875
Ersetzen Sie Folgendes:
ASSURED_OSS_EMAIL_ADDRESS: die E-Mail-Adresse des Dienstkontos, das Sie beim Einrichten von Assured OSS angegeben haben.
ASSURED_OSS_USER_EMAIL_ADDRESS: die E-Mail -Adresse des Nutzerkontos, das Sie zum Einrichten von Assured OSS verwendet haben.
Nachdem Sie das Abo konfiguriert haben, können Sie diese Regel für ausgehenden Traffic entfernen.
Nächste Schritte
Weitere Informationen zum Konfigurieren von Richtlinien für ausgehenden Traffic.
Security Command Center mit VPC Service Controls aktivieren.